11 Eski Microsoft İmzalı Linux UEFI Shim'i Secure Boot'u Atlatma Riski Taşıyor Siber Güvenlik

11 Eski Microsoft İmzalı Linux UEFI Shim'i Secure Boot'u Atlatma Riski Taşıyor

ESET araştırmacıları, 11 eski Microsoft imzalı UEFI shim'in Secure Boot'u atlayarak bootkit ve kötü amaçlı yazılım yüklenmesine izin verdiğini açıklad

Siber güvenlik araştırmacıları, Microsoft tarafından imzalanmış 11 eski UEFI (Unified Extensible Firmware Interface) uygulamasının, modern ürün yazılımı standardını kullanan çoğu sistemde Secure Boot korumasını atlatmak için kullanılabileceğini keşfetti. ESET araştırmacısı Martin Smolár, bugün yayınladığı raporda, "Bir saldırgan bu savunmasız uygulamalardan birini kullanarak sistem açılışı sırasında güvenilmeyen kod çalıştırabilir, bu da kötü amaçlı UEFI bootkit'lerinin veya diğer zararlı yazılımların dağıtılmasını sağlar" dedi.

Bu UEFI shim bootloader'lar, işletim sisteminden bağımsız olarak, Microsoft'un 'Microsoft Corporation UEFI CA 2011' üçüncü taraf UEFI sertifika yetkilisi (CA) sertifikasına güvenen tüm UEFI tabanlı makineleri etkiliyor. Bu sertifika, Secure Boot altında çalışması amaçlanan üçüncü taraf önyükleme bileşenlerini imzalamak için kullanılıyor. Sertifika 27 Haziran 2026'da sona erdi ve yerini Microsoft UEFI CA 2023 ile Microsoft Option ROM UEFI CA 2023 aldı.

Shim, bir bilgisayarın anakart ürün yazılımı ile Linux işletim sistemi arasında aracı görevi gören hafif, açık kaynaklı bir UEFI bootloader'dır. Temel amacı, Secure Boot etkinleştirildiğinde Linux dağıtımlarının önyüklenmesine izin vermektir. Shim'in kendisi, ürün yazılımı tarafından güvenilen bir anahtarla, çoğunlukla Microsoft imzasıyla imzalanır çünkü sertifikaları UEFI tabanlı cihazlara önceden yüklenmiş olarak gelir. Süreç şöyle işler: UEFI ürün yazılımı shim'i yükler ve imzasını ürün yazılımında depolanan Microsoft CA'ya karşı doğrular. Shim daha sonra ikinci aşama bootloader'ı (çoğu durumda GRUB 2) kendi gömülü satıcı sertifikasına karşı doğrular. GRUB 2 de aynı satıcı sertifikasını kullanarak çekirdeği doğrular.

Slovak siber güvenlik şirketi, güncel olmayan ancak güvenilen shim'lerin, sistem önyüklendiğinde rastgele kod çalıştırmak için kullanılabileceğini ve Secure Boot korumaları etkin olsa bile Bootkitty, HybridPetya veya BlackLotus gibi UEFI bootkit'lerinin dağıtılmasına olanak tanıdığını söyledi. Açık kaynaklı shim projesinin, özellikle 0.9 ve önceki sürümlerindeki UEFI bootloader'ları, Şubat ayında yapılan sorumlu ifşanın ardından Microsoft tarafından Haziran 2026 Patch Tuesday güncellemesi kapsamında iptal edildi. Etkilenen shim bootloader'ları arasında Spyrus WTGCreator, RedHat Enterprise Linux, CentOS, baramundi Management Suite, WipeDrive, Abitti, ROSA Linux, OracleLinux, PC Doctor Service Center, OpenSuse UEFI Shim loader ve OpenSuse Shim (2.1) bulunuyor.

Bu açığın bir sonucu olarak, bir saldırgan, kendi savunmasız sürücünüzü getir (BYOVD) saldırı tekniğini kullanarak, işletim sistemi başlatılmadan önceki erken önyükleme aşamasında rastgele kod çalıştırmak için bu hassas shim bootloader'larından yararlanabilir. Linux sistemleri ayrıca, kullanıcıların UEFI Secure Boot etkinken imzasız sürücülerin yüklenmesine izin vermesini sağlayan bir Makine Sahibi Anahtarı (MOK) izin listesi adlı bir güvenlik özelliğiyle birlikte gelir. Shim sürüm 0.9'da, savunmasız bir UEFI ikili dosyasıyla ilişkili eski imzalama sertifikalarını iptal etmek ve yamalı sürümleri yeniden imzalamak için bir MOK engelleme listesi getirilmişti.

Sistem Güvenliği

Bu bağlamda, bir saldırgan, kurbanın güncel shim'ini daha eski bir Microsoft imzalı UEFI shim ile değiştirebilir ve izin listesinin eski sertifikaya hala güvenmesi avantajından yararlanarak MOK engelleme listesini atlayabilir. Bu da saldırganın shim'inin kısıtlama olmaksızın savunmasız ikili dosyaları yüklemesine ve rastgele kod çalıştırmasına olanak tanır. Ayrıca saldırı, her bir dosyaya karşılık gelen bireysel kriptografik hash'lerin büyük bir blok listesini tutmak yerine savunmasız önyükleme bileşenlerini iptal etmek için tasarlanmış olan Secure Boot Advanced Targeting'i (SBAT) de bozar. Başka bir deyişle, mekanizma, önyükleme zinciri bileşeninde bir güvenlik açığı keşfedildiğinde minimum kabul edilebilir nesli güncellemek için kullanılır. Denenen bir önyükleme eski, savunmasız bir sürüm kullanıyorsa, sistem bunu engeller ve hata verir.

CERT Koordinasyon Merkezi (CERT/CC), geçen ay yayınladığı bir danışma belgesinde, satıcıya özel bootloader'ların, yukarı akış projesindeki güvenlik açıkları kamuya duyurulduktan ve düzeltildikten sonra güncellenmediğini söyledi. Bunun sonucunda, savunmasız bootloader'lar Microsoft imzalı DBX iptal listesi aracılığıyla iptal edilmedikleri için imzalı kaldı ve Secure Boot sistemleri tarafından güvenilmeye devam etti. Bu, tamamen yamalanmış sistemlerde bile güncel olmayan ve savunmasız önyükleme bileşenlerinin çalıştırılabileceği uzun vadeli bir tedarik zinciri maruziyeti yarattı. Sonuç olarak, yönetici ayrıcalıklarına sahip veya önyükleme sürecini değiştirebilen bir saldırgan, yukarıdaki savunmasız shim bootloader'larından birini kötüye kullanarak Secure Boot korumalarını atlayabilir ve işletim sistemi yüklenmeden önce rastgele kod çalıştırabilir. Bu da işletim sistemi yeniden başlatmalarından ve bazı durumlarda yeniden yüklemelerinden sağ çıkabilen kalıcı bir varlık oluşturmanın yolunu açar.

Önemli Gelişmeler

Tüm bunlar işletim sistemi ve güvenlik ürünleri başlatılmadan önce gerçekleştiği için, bootloader'lar aracılığıyla yürütülen kötü amaçlı kod, yerleşik güvenlik kontrolleri ve uç nokta tespit ve yanıt (EDR) çözümleri tarafından tespit edilmekten de kurtulabilir. Sorunlar CVE-2026-8863 ve CVE-2026-10797 tanımlayıcıları altında takip ediliyor; ikincisi, ikinci aşama bootloader'ın imza başlığını değiştirerek sertifika tabanlı iptal mekanizmasının atlanmasına izin veren, shim'de uzun süre önce yamalanmış bir soruna atıfta bulunuyor. ESET, 'Microsoft Corporation UEFI CA 2011' sertifikasının süresinin dolmasının bu belirli zafiyeti otomatik olarak gidermeyeceği konusunda uyardı.

Kaynak: thehackernews.com

Paylaş: